Novedades normativas: ISO 27001 y NIS2

Lorenzo Distaso
Compliance Specialist Secursat
 

/media/Lorenzo_Distaso_rit.jpg

La seguridad de la información se ha convertido en una prioridad estratégica para todas las organizaciones de Italia y la UE, independientemente de su tamaño, incluso tras los recientes cambios normativos. Aunque las grandes empresas pueden contar con estructuras dedicadas e importantes recursos, las organizaciones de todos los sectores dentro de la cadena de suministro de DORA -para el sector financiero- y NIS2, se enfrentan a un complejo reto a la hora de garantizar la protección de los datos y la continuidad de las actividades.

En un contexto nacional en el que el nivel de alfabetización en ciberseguridad sigue siendo crítico y en el que los DDoS y el ransomware amenazan a diario las infraestructuras y servicios críticos de nuestro país, Secursat -que forma parte de la cadena de suministro TIC de varias organizaciones financieras y otras realidades críticas y estratégicas- ha decidido adoptar un nuevo sistema de gestión conforme a la norma internacional ISO 27001 y registrar su actividad en el portal de la Agencia Nacional de Ciberseguridad, de conformidad con el art. 7 del Decreto Legislativo nº 138 de 2024.

 

La importancia de la cadena de suministro

Prima facie creemos que nuestra fiabilidad, como empresa capaz de gestionar los riesgos de nuestros clientes, se basa en nuestra reputación y por ello hemos decidido invertir en todos los elementos que puedan garantizar que seguimos el ritmo de la evolución del mercado, tanto en términos de normativa como de tecnología. Nuestro nivel de atención y responsabilidad hacia nuestros clientes y el mercado sigue siendo muy alto. De hecho, las empresas para las que ofrecemos servicios de seguridad y otras buscan proveedores cada vez más conformes con la normativa y capaces de permitir un alto grado de fiabilidad en materia de seguridad de la información.

Los procesos de adquisición y contratación y la búsqueda de alianzas externas por parte de los principales actores de los sectores críticos ya no pueden prescindir de una diligencia debida centrada en las medidas técnicas y organizativas de ciberseguridad implantadas por los interlocutores.

A este respecto, recordemos que los sujetos de la NIS 2, por ejemplo, no sólo son responsables de su propia seguridad informática, sino también de la de sus proveedores y socios. La obligación de supervisar a terceros, introducida por la Directiva y el Reglamento DORA, se traduce en una atribución directa de responsabilidad al sujeto SRI -objeto de un incidente cibernético- por las violaciones que se produzcan en la cadena de suministro. Como parte de la cadena de suministro de nuestros clientes, en Secursat hemos decidido responder a las necesidades de nuestros clientes a la hora de abordar estas complejas cuestiones y hemos puesto en marcha no solo acciones, sino que también hemos creado competencias específicas y de cumplimiento para hacer frente a los diferentes retos.

 

Seguridad de la información: 27001 y NIS2

En detalle, la adopción de un sistema de gestión según la norma ISO 27001 nos ha permitido acercarnos a muchos de los requisitos impuestos por el nuevo marco normativo. Aunque los requisitos y controles de ambas no se solapan perfectamente, hay muchos puntos en común. El «apoyo» a la NIS 2 se manifiesta en la adopción de un enfoque basado en los riesgos, que incluye -entre otras- las siguientes medidas: evaluación de los riesgos para la seguridad de la información, análisis del contexto, supervisión y gestión del acceso a los sistemas de información, gestión de las vulnerabilidades, herramientas técnicas para la protección de la red, continuidad de las actividades y recuperación en caso de catástrofe. Secursat decidió incorporar la lista de comprobación de obligaciones básicas publicada para los sujetos de la SRI, y realizar una evaluación interna para valorar el nivel de cumplimiento. El resultado es que el cumplimiento de estas obligaciones por parte de Secursat es ahora del 90%, señal de que la dirección de la empresa es la correcta, pero aún queda trabajo por hacer, tanto en términos de cumplimiento como de protección efectiva de redes, sistemas e información.

Esto, unido a importantes inversiones para seguir el ritmo de la evolución tecnológica, especialmente en la arquitectura global en la que se basa la empresa, y en el uso de los datos de forma estratégica y predictiva, es el camino que Secursat está recorriendo para confirmar la idea de que la seguridad, si se enfoca de forma holística e innovadora, puede ser el eje sobre el que gire no sólo la protección del negocio, sino también la eficacia y eficiencia de los procesos operativos.

 

Leggi altre News

La sicurezza oltre i confini della sicurezza

Consulting
Le strategie data drive per il controllo dei processi I prodotti intelligenti stanno disgregando i confini tra i settori creandone di nuovi. Cambia il modo in cui si crea valore e competono le aziende, obbligate a riprogettare ed ...

Big, Fast e Smart Data

Consulting
I dati a supporto dello sviluppo di strategie di sicurezzaCon la continua evoluzione degli strumenti digitali si moltiplicano i dati e le informazioni ottenibili dall’uso e dalla gestione dei dispositivi tecnologici connessi ...

Regresa